Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss zur Auftragsverarbeitung gemäß Art. 28 DSGVO ergeben.

1. Gegenstand und Dauer des Auftrags

Die netzfalken GmbH (hier im folgenden “Auftragnehmerin”) speichert und verarbeitet im Rahmen des vorliegenden Nutzungsvertrages die durch den Anwender (hier im folgenden “Auftraggeber”) erhobenen betrieblichen Daten. Die Dauer des Auftrags ist abhängig von der Dauer des mit dem Auftraggeber geschlossenen Vertrages.

2. Umfang, Art und Zweck der Auftragsdatenverarbeitung

Die Auftragnehmerin übernimmt die Aufgabe des technischen Betriebs (Hosting) einer Software-Anwendung, die über das Internet verwendet wird. Die Erhebung, Erfassung und Nutzung der Daten innerhalb der Software-Anwendung sowie die Verarbeitung auf fachlicher Ebene erfolgt ausschließlich durch den Auftraggeber und von ihm benannter Gehilfen bzw. Dritter. Soweit der Auftraggeber personenbezogene Daten erhebt, verarbeitet oder sonst wie nutzt, oder dies durch die Auftragnehmerin erfolgen lässt, so erklärt er hiermit ausdrücklich, dass er im Sinne der datenschutzrechtlichen Vorschriften dazu berechtigt ist und stellt die Auftragnehmerin ausdrücklich frei von Ansprüchen Dritter. Sollten entgegen dem Sinne dieser Vereinbarung dennoch Ansprüche Dritter gegenüber die Auftragnehmerin entstehen, so verpflichtet sich der Auftraggeber bereits jetzt gegenüber dem Anbieter zum Ersatz.

3. Technische und organisatorische Maßnahmen zum Schutz der Daten

Die Maßnahmen zum Datenschutz bei der Auftragnehmerin sind gesondert beschrieben in den technischen und organisatorischen Maßnahmen zum Datenschutz - kurz TOM. Die Auftragnehmerin verpflichtet sich, den Auftraggeber bei einer signifikanten Änderung dieser Maßnahmen zu informieren.

4. Berichtigung, Sperrung, Löschung personenbezogener Daten

Die Berichtigung, Sperrung oder Löschung personenbezogener Daten erfolgt durch den Auftraggeber selbst oder auf explizite Anweisung des Auftraggebers.

5. Pflichten des Auftragnehmers und Kontrolle

Die Auftragnehmerin verpflichtet sich, die Daten des Auftraggebers vertraulich zu behandeln und diese Verpflichtung auch allen Mitarbeitern aufzuerlegen. Sollten die Daten des Auftraggebers bei der Auftragnehmerin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Auftragnehmerin den Auftraggeber unverzüglich darüber zu informieren, sofern ihr dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Die Auftragnehmerin wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.

Zur Verbesserung des Datenschutzes und der Datensicherheit hat die netzfalken GmbH Herrn Rechtsanwalt Oliver Niederjohann  - Beethovenstr. 24 - 51375 Leverkusen als Datenschutzbeauftragten bestellt.

Bei Fragen zum Datenschutz kann der Auftraggeber den Datenschutzbeauftragten direkt kontaktieren.

6. Unterauftragsverhältnisse

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post- /Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Aktuell besteht ein derartiges auf die Hauptleistung bezogenes Unterauftragsverhältnis mit dem Rechenzentrum der • Hetzner Online GmbH aus 91710 Gunzenhausen, Rechenzentrum wo die Hauptleistung gehosted wird.

Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig soweit:

• Der Auftragnehmer den Auftraggeber hierüber spätestens 14 Tage im Vorhinein schriftlich oder in Textform informiert
• Der Auftraggeber innerhalb dieser Frist nicht ausdrücklich schriftlich oder in Textform widerspricht
• eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zwischen Auftragnehmer und Unterauftragnehmer geschlossen wurde. Dem Auftraggeber ist der Auftragsverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln Der Auftragnehmer hat Subunternehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass diese die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass seine Vereinbarung zur Auftragsverarbeitung gem. DSGVO 4 von 6 Subunternehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen haben. Die Speicherung der Auftragsdaten erfolgt ausschließlich in Rechenzentren, die in Deutschland oder aber der Europäischen Union liegen und deren Betreiber wie die Auftragnehmerin auch der europäischen DSGVO unterliegen.

7. Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Auftragnehmers

Zur Kontrolle der technischen und organisatorischen Maßnahmen stellt die Auftragnehmerin dem Auftraggeber eine Dokumentation der technischen und organisatorischen Maßnahmen zur Verfügung. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit selbst persönlich zu prüfen oder durch einen sachkundigen Dritten im erforderlichen Umfang kontrollieren zu lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist. Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen. Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen von Aufsichtsbehörden zum Datenschutz gegenüber dem Auftraggeber, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu Vereinbarung zur Auftragsverarbeitung gem. DSGVO 5 von 6 ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen von Aufsichtsbehörden beim Auftragnehmer von diesem zu informieren. Der Auftragnehmer ist verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse des Auftraggebers und von Aufsichtsbehörden auch gegenüber ggf. existierenden Unterauftragnehmern gelten sofern sich das Unterauftragsverhältnis auf die Hauptleistung bezieht und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem ggf. vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.

8. Mitteilung bei Verstoß durch den Auftragnehmer

Verstößt der Auftragnehmer oder die bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die in diesem Auftrag getroffenen Festlegungen ist dies dem Auftraggeber unverzüglich schriftlich mitzuteilen.

9. Umfang der Weisungsbefugnisse des Auftraggebers

Die Auftragnehmerin verpflichtet sich, die Verarbeitung der ihr übergebenen Daten ausschließlich im Rahmen der vertraglich festgelegten Weisungen des Auftraggebers durchzuführen.

10. Löschung der Daten nach Beendigung des Auftrags

Der Auftraggeber hat über die Löschfunktion der Software-Anwendung jederzeit die Möglichkeit, Daten selbst zu löschen. Sechs Wochen nach Beendigung des Auftrags löscht der Auftragnehmer die Auftragsdaten des Auftraggebers vollständig und unwiderruflich. In diesen sechs Wochen sorgt die Auftragnehmerin ebenso für die Einhaltung des Datenschutzes wie während der Vertragslaufzeit. Sollte der Auftraggeber die Auftragsdaten weiter verwenden wollen, so sind diese durch ihn rechtzeitig auf geeigneten Speichermedien zu sichern. Vereinbarung zur Auftragsverarbeitung gem. DSGVO 6 von 6

11. Sonstiges

Soweit der Auftraggeber den Regelungen des kirchlichen Datenschutzes unterliegt (KDG oder DSG-EKD), gelten diese im Rahmen der Vereinbarung nach Art. 28 DSGVO zusätzlich, soweit diese weitergehende Anforderungen an Dienstleister enthalten.